Abo
  • IT-Karriere:

Sicherheitslücke: Login ohne Passwort mit LibSSH

Eine sehr schwerwiegende Sicherheitslücke in der Bibliothek LibSSH erlaubt es Angreifern, die Authentifizierung beim Login zu überspringen. Doch die Auswirkungen dürften begrenzt sein: Kaum jemand nutzt LibSSH für Server.

Artikel veröffentlicht am , Hanno Böck
Die Bibliothek LibSSH nutzt kaum jemand auf Serverseite - daher dürfte eine schwerwiegende Sicherheitslücke wenig Auswirkungen haben.
Die Bibliothek LibSSH nutzt kaum jemand auf Serverseite - daher dürfte eine schwerwiegende Sicherheitslücke wenig Auswirkungen haben. (Bild: Screenshot Webseite / Hanno Böck)

Eigentlich wäre es eine katastrophale Sicherheitslücke: Die Bibliothek LibSSH erlaubt es, beim Login den Authentifizierungsprozess zu überspringen. Clients können einfach durch das Senden einer falschen Protokollnachricht behaupten, dass der Nutzer bereits authentifiziert sei - und sich somit einloggen, ohne ein Passwort vorzuweisen.

Stellenmarkt
  1. operational services GmbH & Co. KG, Berlin, Frankfurt am Main, Wolfsburg, Braunschweig
  2. AAF Europe, Heppenheim

Die Entwickler von LibSSH haben die Versionen 0.7.6 und 0.8.4 veröffentlicht, in denen das Problem behoben ist. Die Lücke hat die Id CVE-2018-10933 erhalten.

Wer LibSSH auf Server-Seite nutzt, sollte daher unbedingt sofort updaten - und muss möglicherweise damit rechnen, dass der Server bereits von Angreifern übernommen ist. Allerdings dürfte das nur wenige Personen tatsächlich betreffen, denn die Server-Funktion von LibSSH wird nicht sehr häufig genutzt.

Nur wenige Server mit LibSSH

Die Bibliothek LibSSH implementiert das SSH-Protokoll und wird auch von einer Reihe von Anwendungen genutzt, beispielsweise von KDE. Doch in den allermeisten Fällen nutzen Applikationen LibSSH nur, um clientseitig Verbindungen aufzubauen. Die sind jedoch von der Lücke nicht betroffen.

Der einzige prominente Nutzer von LibSSH dürfte Github sein, die laut LibSSH-Webseite diese Bibliothek serverseitig nutzen. Allerdings erklärte Github in einem Tweet, dass man von der Lücke nicht betroffen gewesen sei. Der Grund: Man nutze LibSSH nur mit Public-Key-Authentifizierung und die sei ebenfalls nicht betroffen. Zur Sicherheit habe man bei Github das Update aber trotzdem eingespielt.

Einige Twitter-Nutzer berichten, dass sie mit Shodan einige Tausend verwundbare Geräte im gesamten Internet finden. Für die Betroffenen ist das natürlich relevant, aber zu Massenhacks wird es wohl nicht kommen.

Wer SSH auf Servern einsetzt, nutzt meist OpenSSH, im Embedded-Bereich und bei IoT-Geräten kommt häufig die Software Dropbear zum Einsatz. Beide Projekte sind von LibSSH völlig unabhängig und damit nicht betroffen.



Anzeige
Top-Angebote
  1. (u. a. GTA 5 für 12,99€, Landwirtschafts-Simulator 19 für 27,99€, Battlefield V für 32,99€)
  2. 169,00€
  3. 54,00€
  4. 19,99€ (Release am 1. August)

Folgen Sie uns
       


iPad Mini (2019) - Fazit

Nach vier Jahren hat Apple ein neues iPad Mini vorgestellt. Das neue Modell hat wieder einen 7,9 Zoll großen Bildschirm und unterstützt dieses Mal auch den Apple Pencil.

iPad Mini (2019) - Fazit Video aufrufen
Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

    •  /